赵亚茹 等: 云边联邦学习系统下抗投毒攻击的防御方法                                                      4265


                 的性能,  Acc 为  75.1%, 虽然  Auror 在  IID  场景下获得了最优的  Acc 89.2%, 略高于我们的方法    0.86%, 但其在  non-
                 IID  下实现了最差的性能      Acc 为  33.5%; 对于  PEFL, 虽然在  IID  下与  FedDiscrete 方法表现出相当的性能, 仅低于
                 我们的方法    0.14%, 但其在  non-IID  下表现出较弱的性能, 主要原因在于         FLTrust 对每个客户端本地模型更新分配
                 信任分数, 易于导致攻击者有意规避特定轮的检测, 且                Krum, Auror 和  PEFL  都难以有效识别出   non-IID  下的投毒
                 梯度与易发散的良性梯度. 此外, 在          non-IID  场景下, 比较其他防御算法, FedDiscrete 提高了    Acc 17.49%–45.49%,

                 例如, FedDiscrete 获得  Acc 78.99%, 而  Auror 方案仅为  Acc 33.5%, 类似地  IID  场景.

                                    表 3 b=50%  时不同防御算法在不同攻击场景下的             Acc 比较 (%)

                     场景          Ours       Trimmed-mean [50]  Krum  [48]  FLTrust [10]  Auror [51]  PEFL [30]
                     IID       88.34±0.46       82.3          77.5        75.1        89.2       88.2
                    non-IID    78.99±2.67       47.0          61.5        37.8        33.5       46.4

                    此外, 我们在    IID  场景下比较了两种新颖的防御方法. 第          1  个是评估  RobustFL  防御在  MNIST  数据集上的性
                 能. 具体地, RobustFL  在  b = 10%  和  20%  时分别实现了  Acc 94.17%  和  91.86%, 弱于我们的方法所获得的     Acc
                 96.61%  和  94.17%; 另一个是评估利用离散更新空间的防御方法            FRL  在  CIFAR-10  数据集上的性能, 实验结果如
                 表  4  所示  (粗体表示更优的结果). 从表     4  中可以看到, 在无攻击者场景下, FedDiscrete 防御实现了         Acc 71.31%, 弱
                 于  FRL  实现了   Acc 77.60%. 然而, 随着攻击者数量的增加, 当     b = 10% 时, FRL  实现了  Acc 41.70%, 其表现出大幅
                 度的下降, 而   FedDiscrete 实现了   Acc 63.06%, 具有较小的下降幅度; 类似地, 当    b = 20% 时, FRL  仍然实现了较低
                   Acc 39.70%, 而                                            b = 10% 场景下  3  种同样采用离散更
                 的             FedDiscrete 获得了  Acc 60.56%. 进一步地, 我们也比较了
                 新空间的防御方法的性能, 结果如表           5  所示. 从表  5  中可以看到, 在  non-IID  场景下, 文献  [23−25] 均获得了较低的
                 Acc, 而所提出的   FedDiscrete 防御方法实现了较高的      Acc 96.15%.

                 表 4 在  IID  场景和  CIFAR-10  数据集上不同  b 值下防     表 5 b=10%  时在  non-IID  场景和  MNIST  数据集上不
                             御算法的性能评估 (%)                               同防御算法下的      Acc 评估  (%)

                      b            Ours          FRL [27]       算法      Ours    DDPG [23]  DQN [24]  SLM [25]
                      0          71.31±0.33       77.60         Acc   96.15±1.05  65.89   52.25   57.75
                      10         63.06±0.53       41.70
                      20         60.56±0.82       39.70

                    综上可知, 结果表明即使面向存在半数攻击者的                IID  和  non-IID  场景, 我们的防御方法  FedDiscrete 仍表现出
                 了较强的可行性和有效性, 而且, 我们也可以猜测当                b 逐渐增加至接近攻击者的上限时, 防御能力可能是有限的,
                 同时反映出兼顾攻击者搭便车在一定程度上能够极大地提高防御性能.

                    2) FedDiscrete vs. CONTRA: 然后, 基于   Acc 指标, 我们评估了不同  b 下  FedDiscrete 和  CONTRA  防御方案在
                 MNIST  数据集下的性能, 实验结果如表         6  所示.

                                  表 6 在  MNIST  数据集上不同    b 下的  Acc 比较与  CONTRA  方案 (%)

                     场景             方案            b = 10%        b = 20%       b = 30%        b = 50%
                                    Ours         96.61±0.16     94.17±0.51     96.72±0.34    88.34±0.46
                      IID
                                 CONTRA  [52]      85.44          85.22         83.20          82.34
                                    Ours         96.15±1.05     92.76±0.96     92.60±1.89    78.99±2.67
                    non-IID
                                 CONTRA  [52]      73.92          73.22         72.82          70.42

                    从表  6  中观察到, FedDiscrete 的防御性能受到     b 值的影响, 且随着    b 的增加呈现下降趋势. 比较        CONTRA  方
                 案, 无论是在   IID  还是  non-IID  场景下, 即使面对不同的攻击能力, 我们的方法仍然获得了更好的                  Acc. 而且, 在
                 IID  下, 当  b = 30% 时, CONTRA  实现了  Acc 83.20%, 比较我们的方法, 其下降了  13.52%; 类似地, 在  non-IID  下, 我

                 们的方法在    b = 10% 时获得了更优的     Acc 96.15%, 比较  CONTRA 防御提高了   22.23%. 我们认为  CONTRA  方案失
                 败的原因可能是其忽略了对局部模型参数的特征模式的分析和选择, 另一个原因可能是其引入的数据分布超参数